鐵路專用數(shù)據(jù)網(wǎng)的組網(wǎng)和安全討論

黃險峰

摘要 文章首先從理論角度出發(fā)，論述并分析了鐵路專用數(shù)據(jù)網(wǎng)的組網(wǎng)方式，指出其在邏輯結(jié)構(gòu)上能夠大體劃分為數(shù)據(jù)中心、核心層、匯聚層以及接入層，并且分析了各自的構(gòu)成特征和職責(zé)。而后就鐵路專用數(shù)據(jù)網(wǎng)的安全問題展開剖析，指出網(wǎng)內(nèi)數(shù)據(jù)隔離，即VPN的應(yīng)用，和網(wǎng)絡(luò)軟硬兩個層面的安全設(shè)置是維系專用數(shù)據(jù)網(wǎng)安全的生命線。

關(guān)鍵詞 鐵路；專用；數(shù)據(jù)網(wǎng)；組網(wǎng)；安全

中圖分類號TP392 文獻標(biāo)識碼A 文章編號 1674-6708（2012）67-0189-02

在鐵路系統(tǒng)中，數(shù)據(jù)的傳輸不僅僅為旅途中的乘客提供著必要的通信支持，更承擔(dān)著鐵路系統(tǒng)正常運行所必需的數(shù)據(jù)傳輸任務(wù)。隨著列車行駛速度的不斷提升，以及多種數(shù)字技術(shù)的投入應(yīng)用，列車行駛過程中的數(shù)據(jù)傳輸成了確保列車安全運行的一個重要因素，也正因為如此，鐵路專用數(shù)據(jù)網(wǎng)的運行和安全問題才得到了更多的重視。

1 鐵路專用數(shù)據(jù)網(wǎng)的組網(wǎng)方式

從鐵路專用數(shù)據(jù)網(wǎng)的邏輯構(gòu)成角度看，其由下至上可以大致劃分為接入層、匯聚層、核心層以及數(shù)據(jù)中心幾個主要層面。

從北京鐵路局專用數(shù)據(jù)網(wǎng)的邏輯結(jié)構(gòu)上看，相對于數(shù)據(jù)中心的北京鐵路局網(wǎng)絡(luò)中心，負(fù)責(zé)對三個核心層面的子網(wǎng)進行必要的協(xié)調(diào)，并且實現(xiàn)同種協(xié)議的子網(wǎng)間數(shù)據(jù)傳輸。對于核心層而言，北京鐵路局專用數(shù)據(jù)網(wǎng)包括了三個主要區(qū)域的子網(wǎng)，子網(wǎng)的核心共同構(gòu)成了整個數(shù)據(jù)網(wǎng)的核心層，即北京鐵路局下屬的專用數(shù)據(jù)網(wǎng)由北京數(shù)據(jù)網(wǎng)、天津數(shù)據(jù)網(wǎng)以及河北數(shù)據(jù)網(wǎng)。核心層是整個專用數(shù)據(jù)網(wǎng)的核心部分，由路由器和三層交換機構(gòu)成，通常在設(shè)備選用的時候傾向于千兆位分布交換式路由器，妻交換容量為128Mb/s，隨著技術(shù)的發(fā)展，核心層的設(shè)備改進步伐也比較快，將會呈現(xiàn)出緊隨科技發(fā)展的趨勢。同時從核心網(wǎng)絡(luò)的傳輸介質(zhì)看，通常在早期就已經(jīng)采用了光纖傳輸?shù)募夹g(shù)，并且隨著光復(fù)用技術(shù)的逐步完善，核心網(wǎng)絡(luò)能夠承受的數(shù)據(jù)流量也不斷增強，從總體上能夠滿足未來很長一段時間內(nèi)數(shù)據(jù)量的增加。

匯聚層負(fù)責(zé)對接入層上報的業(yè)務(wù)進行匯聚整理。由于匯聚層的網(wǎng)絡(luò)劃分以地理上的區(qū)域為準(zhǔn)繩，因此對于一些區(qū)域內(nèi)的數(shù)據(jù)傳輸請求，匯聚層可以實現(xiàn)自行處理，而不必提交到核心網(wǎng)絡(luò)中。對于匯聚層而言，網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)采取星形進行組織，在設(shè)備方面，多采取常規(guī)路由器、三層交換機以及DSLAM等。在網(wǎng)絡(luò)傳輸介質(zhì)上，目前多為光銅混合網(wǎng)絡(luò)，主要是針對目前呈現(xiàn)出的需求特征來對已經(jīng)存在的銅網(wǎng)進行必要的升級。

而對于接入層，即直接接收用戶的數(shù)據(jù)傳輸請求的網(wǎng)絡(luò)層，通常設(shè)定在鐵路沿線，在二三等站中，通常都只存在有接入設(shè)備。同樣采取星形拓?fù)浣Y(jié)構(gòu)為網(wǎng)絡(luò)的邏輯結(jié)構(gòu)，多利用N×E1信道接入到匯聚層。該層面通常由普通路由器、二層交換機以及DSLAM等設(shè)備構(gòu)成。

2 鐵路專用數(shù)據(jù)網(wǎng)的安全實現(xiàn)

鐵路用專用數(shù)據(jù)網(wǎng)是一個用于數(shù)據(jù)傳輸?shù)奈锢砥脚_，其中不同部門的多種數(shù)據(jù)都需要利用該平臺進行傳送，并且從整體上看，鐵路專用數(shù)據(jù)網(wǎng)還處于一種半開放的狀態(tài)之下。鑒于此種情況，為了確保不同的部門和用戶之間能夠?qū)崿F(xiàn)正確有效以及安全的數(shù)據(jù)傳輸，有必要針對鐵路專用數(shù)據(jù)網(wǎng)的應(yīng)用狀態(tài)以及安全防范展開必要的分析。

首先，鐵路專用數(shù)據(jù)網(wǎng)內(nèi)部的數(shù)據(jù)傳輸隔離技術(shù)早已成為必需。網(wǎng)內(nèi)隔離技術(shù)，能夠確保鐵路工作環(huán)境中的不同部門在進行數(shù)據(jù)傳輸?shù)倪^程中僅面對一個專用的邏輯網(wǎng)絡(luò)，而非一個物理上的綜合網(wǎng)絡(luò)傳輸系統(tǒng)。目前常見的網(wǎng)內(nèi)隔離技術(shù)包括有L2TP VPN、GRE VPN、IPSecVPN、SSL VPN、MPLS VPN等技術(shù)，并且以MPLS VPN技術(shù)相對成熟，我國鐵路專用數(shù)據(jù)網(wǎng)也采用了此種技術(shù)。MPLS VPN技術(shù)存在相對完善的行業(yè)標(biāo)準(zhǔn)，且互通性良好，適合大規(guī)模使用。使用MPLS VPN技術(shù)，能夠?qū)崿F(xiàn)較為簡潔的應(yīng)用，用戶不需要進行IP路由管理和骨干網(wǎng)管理，對于PE或P路由器的接入以及CE路由問題也可以采取完全透明的態(tài)度。同時，MPLS VPN對于IP的管理相對靈活，在VPN構(gòu)建的過程中，對于IP的部署和現(xiàn)有二層骨干網(wǎng)支持的安全程度相當(dāng)。此外，MPLS技術(shù)的報頭校驗對于網(wǎng)內(nèi)正確傳輸數(shù)據(jù)也意義重大。

其次，從網(wǎng)絡(luò)軟環(huán)境管理的角度看，也亟待提高其工作水平。只有對整個網(wǎng)絡(luò)正確的使用，才能進一步確保網(wǎng)絡(luò)環(huán)境的安全。針對目前可能存在的網(wǎng)絡(luò)資源濫用問題，應(yīng)當(dāng)對每個涉及網(wǎng)絡(luò)操作的人員都分配權(quán)限，尤其是可能接觸到鐵路系統(tǒng)數(shù)據(jù)VPN的工作人員更應(yīng)當(dāng)謹(jǐn)慎。對于權(quán)限的管理，應(yīng)當(dāng)依據(jù)一定的規(guī)章制度，并且采取動態(tài)或半動態(tài)口令配合管理。對于實際的操作而言，還有一個必須要做的方面就是相應(yīng)人員的培訓(xùn)，對于網(wǎng)絡(luò)的使用，不應(yīng)當(dāng)僅僅了解操作步驟，對于相關(guān)設(shè)備的原理和簡單故障的定位和排除也要進行相應(yīng)的了解。并且還需要在完善人員素質(zhì)的基礎(chǔ)上，對網(wǎng)絡(luò)做好必要的軟件層面監(jiān)控，相應(yīng)的數(shù)據(jù)和參數(shù)應(yīng)當(dāng)及時加以分析，并且通過軟件設(shè)定預(yù)警，增進整個通信網(wǎng)絡(luò)的健壯性。

最后，還需要從硬件上加以重視，完善整個網(wǎng)絡(luò)的安全。其中包括網(wǎng)管系統(tǒng)的安全、路由的選擇和配置、核心以及匯聚節(jié)點設(shè)備冗余配置、接入層設(shè)備鏈路雙歸屬以及數(shù)據(jù)傳輸通道保護等眾多問題。在實際的操作過程中，除了針對硬件的設(shè)定實施必要的保護，對于各種硬件的驅(qū)動設(shè)備以及控制程序也必須加以重視。常用端口和默認(rèn)口令都必須要進行更改，這些都常常會成為攻擊的目標(biāo)。

從鐵路專用數(shù)據(jù)網(wǎng)的安全角度看，是一個需要長期堅持并不斷完善的過程。只有在實際中堅持不懈的努力，才能確保整個網(wǎng)絡(luò)安全運行并發(fā)揮應(yīng)有的作用。

參考文獻

[1]于佳亮，于天澤.鐵路通信網(wǎng)概論[M].北京:人民郵電出版社，2009.

[2]TB 10087-2010-J 977-2010 鐵路數(shù)據(jù)通信網(wǎng)設(shè)計規(guī)范[S].

[3]TB 10006-2005 鐵路運輸通信設(shè)計規(guī)范[S].

[4]夏德春，李敏，余京梅.適合高速鐵路的數(shù)據(jù)網(wǎng)方案[J].鐵道通信信號，2005(11).

[5]毛積綱.鐵路地區(qū)用戶接入網(wǎng)的規(guī)劃和實施[J].鐵道運營技術(shù)，1999(3).